设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 源码分享 【DLL劫持】用NASM汇编语言实现32位dsound.dll的劫持 ...
返回列表 发新帖
查看: 4064|回复: 2

【DLL劫持】用NASM汇编语言实现32位dsound.dll的劫持

[复制链接]
0xAA55

1112

主题

1653

回帖

7万

积分

用户组: 管理员

一只技术宅

UID
1
精华
245
威望
744 点
宅币
24257 个
贡献
46222 次
宅之契约
0 份
在线时间
2298 小时
注册时间
2014-1-26
发表于 2014-7-22 01:55:43 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
原理很简单。弄一个导出表和原dsound.dll一致的自定义DLL,里面的函数就都可以劫持了。
dsound.dll是使用DirectSound必不可少的DLL,通过使用它,游戏可以播放各种各样的音效。就比如《光环2》这个游戏,它就是使用DirectSound进行声音的播放的。
我觉得《光环2》的精英战士长得比较萌,而且声音也铿锵有力(虽然四个下颌让它们吐字不清)。通过劫持dsound.dll可以实现游戏音效的截取。
当然不能急,要一步一步来。写的函数名字和调用约定以及参数个数必须和原DLL完全一致,才能保证完全加载。
我这里给的源代码是自己写了个dsound.dll,然后它引用了原始的dsound.dll。做法就是用LoadLibrary加载原始DLL,调用原始的函数,然后对其进行处理。
先看ds.def
  1. LIBRARY
  2.     EXPORTS
  3. DirectSoundCreate               @1
  4. DirectSoundEnumerateA           @2
  5. DirectSoundEnumerateW           @3
  6. DllCanUnloadNow                 @4
  7. DllGetClassObject               @5
  8. DirectSoundCaptureCreate        @6
  9. DirectSoundCaptureEnumerateA    @7
  10. DirectSoundCaptureEnumerateW    @8
  11. GetDeviceID                     @9
  12. DirectSoundFullDuplexCreate     @10
  13. DirectSoundCreate8              @11
  14. DirectSoundCaptureCreate8       @12
复制代码
你会发现它和原始的dsound.dll一致。然后就是源码部分。因为是汇编写的所以代码略丑。
  1. ;DllMain用到的常数
  2. %define DLL_PROCESS_ATTACH 1
  3. %define DLL_THREAD_ATTACH  2
  4. %define DLL_THREAD_DETACH  3
  5. %define DLL_PROCESS_DETACH 0

  7. ;要用到的函数
  8. extern __imp__Beep@8
  9. extern __imp__LoadLibraryA@4
  10. extern __imp__GetProcAddress@8
  11. extern __imp__FreeLibrary@4

  13. ;导出的函数
  14. global _DllMain@12
  15. global _DirectSoundCreate@12
  16. global _DirectSoundEnumerateA@8
  17. global _DirectSoundEnumerateW@8
  18. global _DllCanUnloadNow@0
  19. global _DllGetClassObject@12
  20. global _DirectSoundCaptureCreate@12
  21. global _DirectSoundCaptureEnumerateA@8
  22. global _DirectSoundCaptureEnumerateW@8
  23. global _GetDeviceID@8
  24. global _DirectSoundFullDuplexCreate@40
  25. global _DirectSoundCreate8@12
  26. global _DirectSoundCaptureCreate8@12

  28. ;代码段
  29. segment .text
  30. ;==============================================================================
  31. ;加载原始DLL的宏
  32. ;------------------------------------------------------------------------------
  33. %macro LoadOrg 0
  34. push OrgDllName;DLL路径字符串
  35. call [__imp__LoadLibraryA@4]
  36. mov [OrgDllHMod],eax;存储返回值
  37. %endmacro

  39. ;==============================================================================
  40. ;调用原始函数的宏,参数是GetProcAddress的函数名那个参数。
  41. ;------------------------------------------------------------------------------
  42. %macro CallOrg 1
  43. push %1;函数名
  44. push dword[OrgDllHMod];DLL句柄
  45. call [__imp__GetProcAddress@8];取得函数地址
  46. call eax;调用函数
  47. %endmacro

  49. ;==============================================================================
  50. ;卸载原始DLL的宏
  51. ;------------------------------------------------------------------------------
  52. %macro FreeOrg 0
  53. push dword[OrgDllHMod];DLL句柄
  54. call [__imp__FreeLibrary@4]
  55. %endmacro

  57. ;==============================================================================
  58. ;发出蜂鸣的宏
  59. ;------------------------------------------------------------------------------
  60. %macro Beep 2
  61. push %2;时长
  62. push %1;频率
  63. call [__imp__Beep@8];蜂鸣
  64. %endmacro

  66. ;==============================================================================
  67. ;DllMain
  68. ;Dll的入口点
  69. ;------------------------------------------------------------------------------
  70. _DllMain@12:
  71. ;判断是DLL加载还是DLL卸载
  72. cmp dword[esp+8],DLL_PROCESS_ATTACH
  73. jz .ProcAttach
  74. cmp dword[esp+8],DLL_PROCESS_DETACH
  75. jz .ProcDetach
  76. jmp .EOFunc

  78. ;DLL卸载
  79. .ProcDetach:
  80. Beep 500,100;发出音高比较低的蜂鸣
  81. jmp .EOFunc

  83. ;DLL加载
  84. .ProcAttach:
  85. Beep 1000,100;发出音高比较高的蜂鸣

  87. .EOFunc:
  88. mov eax,1
  89. ret 12

  91. ;==============================================================================
  92. ;DirectSoundCreate
  93. ;------------------------------------------------------------------------------
  94. _DirectSoundCreate@12:
  95. LoadOrg
  96. push dword[esp+12]
  97. push dword[esp+12]
  98. push dword[esp+12]
  99. CallOrg dword 1
  100. FreeOrg
  101. ret 12

  103. ;==============================================================================
  104. ;DirectSoundEnumerateA
  105. ;------------------------------------------------------------------------------
  106. _DirectSoundEnumerateA@8:
  107. LoadOrg
  108. push dword[esp+8]
  109. push dword[esp+8]
  110. CallOrg dword 2
  111. FreeOrg
  112. ret 8

  114. ;==============================================================================
  115. ;DirectSoundEnumerateW
  116. ;------------------------------------------------------------------------------
  117. _DirectSoundEnumerateW@8:
  118. LoadOrg
  119. push dword[esp+8]
  120. push dword[esp+8]
  121. CallOrg dword 3
  122. FreeOrg
  123. ret 8

  125. ;==============================================================================
  126. ;DllCanUnloadNow
  127. ;------------------------------------------------------------------------------
  128. _DllCanUnloadNow@0:
  129. LoadOrg
  130. CallOrg dword 4
  131. FreeOrg
  132. ret

  134. ;==============================================================================
  135. ;DllGetClassObject
  136. ;------------------------------------------------------------------------------
  137. _DllGetClassObject@12:
  138. LoadOrg
  139. push dword[esp+12]
  140. push dword[esp+12]
  141. push dword[esp+12]
  142. CallOrg dword 5
  143. FreeOrg
  144. ret 12

  146. ;==============================================================================
  147. ;DirectSoundCaptureCreate
  148. ;------------------------------------------------------------------------------
  149. _DirectSoundCaptureCreate@12:
  150. LoadOrg
  151. push dword[esp+12]
  152. push dword[esp+12]
  153. push dword[esp+12]
  154. CallOrg dword 6
  155. FreeOrg
  156. ret 12

  158. ;==============================================================================
  159. ;DirectSoundCaptureEnumerateA
  160. ;------------------------------------------------------------------------------
  161. _DirectSoundCaptureEnumerateA@8:
  162. LoadOrg
  163. push dword[esp+8]
  164. push dword[esp+8]
  165. CallOrg dword 7
  166. FreeOrg
  167. ret 8

  169. ;==============================================================================
  170. ;DirectSoundCaptureEnumerateW
  171. ;------------------------------------------------------------------------------
  172. _DirectSoundCaptureEnumerateW@8:
  173. LoadOrg
  174. push dword[esp+8]
  175. push dword[esp+8]
  176. CallOrg dword 8
  177. FreeOrg
  178. ret 8

  180. ;==============================================================================
  181. ;GetDeviceID
  182. ;------------------------------------------------------------------------------
  183. _GetDeviceID@8:
  184. LoadOrg
  185. push dword[esp+8]
  186. push dword[esp+8]
  187. CallOrg dword 9
  188. FreeOrg
  189. ret 8

  191. ;==============================================================================
  192. ;DirectSoundFullDuplexCreate
  193. ;------------------------------------------------------------------------------
  194. _DirectSoundFullDuplexCreate@40:
  195. LoadOrg
  196. push dword[esp+40]
  197. push dword[esp+40]
  198. push dword[esp+40]
  199. push dword[esp+40]
  200. push dword[esp+40]
  201. push dword[esp+40]
  202. push dword[esp+40]
  203. push dword[esp+40]
  204. push dword[esp+40]
  205. push dword[esp+40]
  206. CallOrg dword 10
  207. FreeOrg
  208. ret 40

  210. ;==============================================================================
  211. ;DirectSoundCreate8
  212. ;------------------------------------------------------------------------------
  213. _DirectSoundCreate8@12:
  214. LoadOrg
  215. push dword[esp+12]
  216. push dword[esp+12]
  217. push dword[esp+12]
  218. CallOrg dword 11
  219. push eax
  220. FreeOrg
  221. pop eax
  222. ret 12

  224. ;==============================================================================
  225. ;DirectSoundCaptureCreate8
  226. ;------------------------------------------------------------------------------
  227. _DirectSoundCaptureCreate8@12:
  228. LoadOrg
  229. push dword[esp+12]
  230. push dword[esp+12]
  231. push dword[esp+12]
  232. CallOrg dword 12
  233. FreeOrg
  234. ret 12

  236. ;数据段
  237. segment .data
  238. OrgDllName db "c:\windows\system32\dsound.dll";原始DLL路径
  239. OrgDllHMod dd 0;原始DLL句柄
复制代码
这个源码需要用nasm编译,然后用link链接(VC6的link),你需要链接的库是kernel32.lib
SRC: DummyDS.7z (587.41 KB, 下载次数: 9, 售价: 2 个宅币)
我这个帖子只是举一个举一反三的作用。大家看了可以编写别的DLL的劫持程序。
DLL, 劫持, DLL劫持, NASM, 汇编

相关帖子
回复

使用道具 举报

0xAA55

1112

主题

1653

回帖

7万

积分

用户组: 管理员

一只技术宅

UID
1
精华
245
威望
744 点
宅币
24257 个
贡献
46222 次
宅之契约
0 份
在线时间
2298 小时
注册时间
2014-1-26
 楼主| 发表于 2014-7-22 01:57:52 | 显示全部楼层
不知道如何编译链接的,可以下载我提供的源码,它自带了编译器、库、编译批命令。
其实你完全不需要用汇编来写,C语言照样可以。其实严格来说,对于COM的DLL,VB都能编写劫持的东西。
回复 赞! 靠!

使用道具 举报

CTW

7

主题

14

回帖

113

积分

用户组: 小·技术宅

UID
245
精华
0
威望
2 点
宅币
86 个
贡献
2 次
宅之契约
0 份
在线时间
6 小时
注册时间
2014-5-3
发表于 2014-7-22 04:16:45 | 显示全部楼层
支持AA55分享精神
回复 赞! 靠!

使用道具 举报

返回列表 发新帖

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-4-29 13:23 , Processed in 0.052362 second(s), 35 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表